Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie
Toon posts:

Salarisstroken beschikbaar via één (discutabele) methode

Pagina: 1
Acties:

  • rookie no. 1
  • Registratie: juni 2004
  • Laatst online: 21:18
Wat zouden jullie ervan vinden als je werkgever zijn salarisafhandeling laat uitvoeren bij een accountant die tot 1 1/2 jaar geleden op papier de salarisstroken aanlevert, dan via een onbeveiligde PDF op je privé email adres, dan via een portal met wachtwoord en sinds kort via hetzelfde portal maar dan alleen via Google Authenticator. Zonder dit kom je niet meer bij je eigen financiële overzichten.

Ik heb er natuurlijk een mening over en ben benieuwd naar die van anderen en ook vooral wat je hieraan zou kunnen doen.

Acties:
  • +2Henk 'm!

  • ShitHappens
  • Registratie: juli 2008
  • Laatst online: 17:50

ShitHappens

Shit, I fucked up again

Op papier eigenlijk totaal geen problemen mee
Onbeveiligde PDF in privé mail... Tsja, daar belanden nog wel eens serieuzere en belangrijkere onbeveiligde PDF's in
Portal met (gebruikersnaam en) wachtwoord zou een beetje de norm moeten zijn ondertussen, kijkend naar een speler als ADP.
Maar vervolgens met enkel Google Authenticator? 6 cijfers invoeren en je bent er? Nog steeds kans van 1 op een miljoen dat 6 random cijfers mijn huidige code is... Maar dat is een beetje een vreemde manier van authenticeren. Of gaat dit om GA bovenop gebruikersnaam en wachtwoord? 2FA is in 't algemeen wel aan te moedigen, waar het gebrek aan een 2e keuze (SMS of andere app) over te discussiëren valt. En wat eraan doen? Werkgever aansporen om een andere accountant te zoeken of van werkgever wisselen? Niet bijzonder veel lijkt me

I reject your reality, and substitute my shit


Acties:
  • +2Henk 'm!

  • MAX3400
  • Registratie: mei 2003
  • Nu online

MAX3400

XBL: OctagonQontrol

rookie no. 1 schreef op woensdag 12 juni 2019 @ 21:29:
Ik heb er natuurlijk een mening over en ben benieuwd naar die van anderen en ook vooral wat je hieraan zou kunnen doen.
En wat is jouw mening dan? Want uiteindelijk, en dan mag je zelf even bedenken of je er ook een mening over hebt; met een beetje keylogger of anderszins stukje spyware, zie ik alsnog natuurlijk hoeveel je verdient.

Andere insteek: als ik het zo lees moet / verwacht je een nog betere beveiliging / toegang tot je loonstroken. Wel weer grappig want je uiteindelijke fiscale stukken (belastingaangifte), kom je ook gewoon in met iets "stoms" als user/pass en misschien een SMS.

En zat mensen hebben hun smartphone op lockscreen staan maar wel met notificaties zichtbaar; want stel dat je een post op FB van Tante Sjaan mist. Ja, maar die SMS van de overheid zie ik dan ook als ik je smartphone gejat heb.

Xbox Live: OctagonQontrol


  • Paul
  • Registratie: september 2000
  • Laatst online: 20:42
Ik ben blij dat er vooruitgang zit in de beveiliging?

Hoef je alleen die 6-cijferige code in te voeren of ook nog een 'normaal' wachtwoord? Want de Google Authenticator (of een kloon, het is een open standaard) is een goedkope manier om 2FA te implementeren die (mijns inziens) niet onder doet voor dure varianten van RSA of Vasco die hetzelfde doen...

Als je alleen de cijfers (en een username) in hoeft te voeren dan hoop ik dat er een lockout policy op zit dat je na 3 keer een uur moet wachten of zo. Die zou er sowieso op mogen, maar veel sites hebben dat niet.

Wij (bedrijf met 7k medewerkers) krijgen de salarisstrook ook als onbeveiligde PDF via een met 2FA beveiligde portal, ik heb er geen problemen mee.

"Your life is yours alone. Rise up and live it." - Richard Rahl
Rhàshan - Aditu Sunlock


  • Rukapul
  • Registratie: februari 2000
  • Laatst online: 19:46

Rukapul

Moderator General Chat
PFSL->PB

  • rookie no. 1
  • Registratie: juni 2004
  • Laatst online: 21:18
Het aanmelden gebeurd op basis van e-mail adres en zelf gekozen wachtwoord en daarna komt de Google Authenticator app (Chrome/Android/iPhone) er aan te pas.

MFA/2FA authenticatie begrijp ik ook wel dat het goed is. Wat me alleen enorm stoort is dat je maar via 1 partij (Google Authenticator) toegang kunt krijgen tot je eigen gegevens die je regelmatig nodig hebt (belastingaangifte, hypotheek, etc.). Dat is nou net de partij waar ik bij voorkeur niets van wil hebben* en verwacht (of meer een hoop eigenlijk) meer keuzes (bv. SMS wat ook wel gedaan wordt).

Maar goed, kennelijk is het normaal dat je hierin geen keuze hebt tegenwoordig. Ik zou het bijna weer liever op papier hebben, maar ook dat is niet meer een keuze.


*Al ga ik wel voor het einde van het jaar over van Windows 10m naar Android, zei het met frisse tegenzin...

Acties:
  • +6Henk 'm!

  • Rmg
  • Registratie: november 2003
  • Laatst online: 20:51
Om die codes te generen kan je ook Authy gebruiken. Googles 2fa (hoe je totp codes genereert iig) is een open standaard

Rmg wijzigde deze reactie 12-06-2019 23:31 (16%)


Acties:
  • +2Henk 'm!

  • Evanescent
  • Registratie: september 2001
  • Niet online

Evanescent

Helemaal klaar voor de zomer!

MAX3400 schreef op woensdag 12 juni 2019 @ 21:43:
[...] Andere insteek: als ik het zo lees moet / verwacht je een nog betere beveiliging / toegang tot je loonstroken. Wel weer grappig want je uiteindelijke fiscale stukken (belastingaangifte), kom je ook gewoon in met iets "stoms" als user/pass en misschien een SMS.

En zat mensen hebben hun smartphone op lockscreen staan maar wel met notificaties zichtbaar; want stel dat je een post op FB van Tante Sjaan mist. Ja, maar die SMS van de overheid zie ik dan ook als ik je smartphone gejat heb.
Wat is dit nou weer voor 'whataboutism'. 8)7 Dat de rest het fout doet betekent niet dat je je er geen zorgen over hoeft te maken, toch?

@rookie no. 1 Ik ben het wel met je eens. Onze oude salarisverwerker had ook nog een onbeveiligde login. Toen ik hier stennis over ben gaan schoppen is er een TLS-verbinding gekomen maar die scoorde nog steeds maar een B op de SSL-labs test. Nu zitten we bij Afas, waar recent eindelijk 2FA introduceert is.
rookie no. 1 schreef op woensdag 12 juni 2019 @ 23:24:
[...] Wat me alleen enorm stoort is dat je maar via 1 partij (Google Authenticator) toegang kunt krijgen [...]
Google Authenticator is slechts één van de vele tools die zo'n code kunnen genereren. Er zijn er ook genoeg opensource. Zoek hier maar eens naar.

Evanescent wijzigde deze reactie 12-06-2019 23:36 (25%)

Ruimteverspilling


  • Paul
  • Registratie: september 2000
  • Laatst online: 20:42
rookie no. 1 schreef op woensdag 12 juni 2019 @ 23:24:
Wat me alleen enorm stoort is dat je maar via 1 partij (Google Authenticator) toegang kunt krijgen [..] Dat is nou net de partij waar ik bij voorkeur niets van wil hebben
Dan neem je een andere app; de GA gebruikt een open standaard.
https://www.bing.com/sear...uthenticator+alternatives
Evanescent schreef op woensdag 12 juni 2019 @ 23:31:
die scoorde nog steeds maar een B op de SSL-labs test.
Wat al redelijk hoog is :) Out of the box halen veel producten dat niet (veel gelukkig ook wel), en de meeste vulnerabilities zetten je terug naar een F.

A of A+ is natuurlijk het beste (en redelijk simpel te halen), maar staar je er ook niet blind op; TLS configuratie is maar een heel klein deel, er zijn veel belangrijker dingen die je niet zo makkelijk test. Als je een A+ scoort maar de site je in laat loggen met admin/admin ben je alsnog de sjaak.

"Your life is yours alone. Rise up and live it." - Richard Rahl
Rhàshan - Aditu Sunlock


  • Evanescent
  • Registratie: september 2001
  • Niet online

Evanescent

Helemaal klaar voor de zomer!

Paul schreef op woensdag 12 juni 2019 @ 23:38:
[...]

Wat al redelijk hoog is :) Out of the box halen veel producten dat niet (veel gelukkig ook wel), en de meeste vulnerabilities zetten je terug naar een F.
Sorry, ik vergis me, het was veel slechter. Het moet een C of lager geweest zijn. Precies weet ik het niet meer, het was in ieder geval slecht. Er draaide nog veel oude Ciphers etc. :)
A of A+ is natuurlijk het beste (en redelijk simpel te halen), maar staar je er ook niet blind op; TLS configuratie is maar een heel klein deel, er zijn veel belangrijker dingen die je niet zo makkelijk test. Als je een A+ scoort maar de site je in laat loggen met admin/admin ben je alsnog de sjaak.
Inderdaad door het gebrek aan de basisbeveiliging, vertrouwde ik de zaak helemaal niet. Het zal niet de hoofdreden geweest zijn, maar we hebben er maar een paar maanden gezeten voordat ze overstapten.

Ruimteverspilling


  • rookie no. 1
  • Registratie: juni 2004
  • Laatst online: 21:18
Goed om te horen dat andere authenticators te gebruiken zijn die kennelijk dezelfde open standaard volgen.

Op zich goed om te melden aan je klanten/gebruikers als leverancier, dit weten niet veel mensen als ze alleen maar naar 1 product gestuurd worden op de site en documentatie.

Binnenkort even testen en dan weer een 'share the knowlegde' momentje op kantoor :)

Dank allen!

  • -Marco
  • Registratie: mei 2013
  • Laatst online: 17-06 17:50
Ik gebruik zelf altijd die van LastPass, kan je ook als vervanger voor Google gebruiken en die heeft dan (in ieder geval op iPhone) ook nog TouchID nodig om de app te openen.

Verder denk ik dat, juist vanwege het gebrek aan kennis bij de meeste mensen, ze niet zullen kiezen om een hele lijst met authenticator-apps voor te schotelen, want dan snapt het merendeel het niet meer. Google kent iedereen, en er lijkt me op zich weinig op tegen om die app te gebruiken.

  • Zarathustra
  • Registratie: januari 2008
  • Laatst online: 20:40
Mijn salarisstroken komen per reguliere analoge post. Enkel beschermd door het briefgeheim.

Het enige punt dat ik zie is dat op ‘grote’ schaal loongegevens buit zouden kunnen worden gemaakt als de beveiliging niet op orde is.

Erg praktisch is het niet. En geeft ook weinig vertrouwen.

Verder soit.

Most people would rather die than think and many of them do! - Bertrand, 'The ABC of Relativity'


Acties:
  • +2Henk 'm!

  • Jester-NL
  • Registratie: januari 2003
  • Niet online

Jester-NL

... pakt een botte bijl

Paul schreef op woensdag 12 juni 2019 @ 23:38:
[...]
Wat al redelijk hoog is :) Out of the box halen veel producten dat niet (veel gelukkig ook wel), en de meeste vulnerabilities zetten je terug naar een F.

A of A+ is natuurlijk het beste (en redelijk simpel te halen), maar staar je er ook niet blind op; TLS configuratie is maar een heel klein deel, er zijn veel belangrijker dingen die je niet zo makkelijk test. Als je een A+ scoort maar de site je in laat loggen met admin/admin ben je alsnog de sjaak.
Om een A+ te halen bij SSLlabs heb je alleen nodig dat je HSTS aan hebt staan... en dan krijg je zelfs op een gratuit Let's Encrypt certificaat een A+

Daarnaast lees ik
Wat me alleen enorm stoort is dat je maar via 1 partij (Google Authenticator) toegang kunt krijgen tot je eigen gegevens die je regelmatig nodig hebt (belastingaangifte, hypotheek, etc.). Dat is nou net de partij waar ik bij voorkeur niets van wil hebben*
En laat die 2FA-app nou niets anders doen dan een paar cijfers uitpoepen. Die app heeft 0 aan toegang tot je belastingaangifte of hypotheek. Iets met klok en klepel

Take life too serious and it ceases to be fun
me @ last.fm


Acties:
  • +1Henk 'm!

  • EnigmaNL
  • Registratie: januari 2007
  • Laatst online: 16:05

EnigmaNL

Ik wil kaas.

Een systeem beveiligd met 2FA, dat klinkt helemaal prima. Beter geregeld dan bij de meeste bedrijven volgens mij.

  • Travelan
  • Registratie: februari 2002
  • Laatst online: 13:13
Je kan vrijwel elke 2FA app gebruiken voor die Google Auth tokens. Ik gebruik zelf gewoon mijn 1password daarvoor. Werkt prima. Is een open standaard dus dit is juist een voorbeeld van goed werkgeverschap in de digitalisering (alhoewel wat laat).

  • nldls
  • Registratie: januari 2011
  • Laatst online: 14:50
Ik krijg ze nog via prive mail in open PDF en dat vind ik prima. Portal zou ik al minder fijn vinden omdat ik dan actief moet zoeken naar mijn info. 2FA zou me dan niet zoveel meer uitmaken als extra. Qua veiligheid prima.

Acties:
  • +2Henk 'm!

  • Evanescent
  • Registratie: september 2001
  • Niet online

Evanescent

Helemaal klaar voor de zomer!

nldls schreef op vrijdag 14 juni 2019 @ 09:56:
Ik krijg ze nog via prive mail in open PDF en dat vind ik prima. Portal zou ik al minder fijn vinden omdat ik dan actief moet zoeken naar mijn info. 2FA zou me dan niet zoveel meer uitmaken als extra. Qua veiligheid prima.
Het grootste probleem zijn alle privégegevens die bij elkaar staan in zo'n strookje, zoals je BSN, werkgever, volledige naam, etc. Daarmee wordt identiteitsfraude wel erg makkelijk. Dat zou ik niet over plain text mail willen hebben.

Ruimteverspilling


  • Paul
  • Registratie: september 2000
  • Laatst online: 20:42
Een deel van de mailservers doet wel TLS (en een aantal partijen geven de mail een lagere (of hogere, net hoe je kijkt) spam-score als je het niet gebruikt). Om te zien of er TLS gebruikt is kun je de headers van de mail opvragen en bij de Received: regels (dit zijn er vaak meerdere) kijken naar iets dat lijkt op dit voorbeeld van een Office365 mailserver:
(version=TLS1_2, cipher=TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384)
Je kunt het niet afdwingen (teveel servers doen namelijk geen TLS en dan komt je mail helemaal niet aan) dus het is geen goed mechanisme om onbeveiligde salarisstroken te sturen, maar als ontvanger heb je daar niet vaak invloed op, en zo kun je in ieder geval kijken of de mail encrypted verzonden is.

Helaas is het ontbreken van zo'n stukje geen garantie dat het plain text is verzonden, sommige mailservers geven deze info niet prijs in de header, maar als het er wel staat kun je er van op aan dat die connectie encrypted was.

"Your life is yours alone. Rise up and live it." - Richard Rahl
Rhàshan - Aditu Sunlock


Acties:
  • +1Henk 'm!

  • KnoxNL
  • Registratie: juli 2009
  • Laatst online: 20:37
rookie no. 1 schreef op woensdag 12 juni 2019 @ 23:24:

Maar goed, kennelijk is het normaal dat je hierin geen keuze hebt tegenwoordig. Ik zou het bijna weer liever op papier hebben, maar ook dat is niet meer een keuze.


*Al ga ik wel voor het einde van het jaar over van Windows 10m naar Android, zei het met frisse tegenzin...
Nee, dat is niet waar. Pin me er niet op vast dat hoe ik het formuleer 100% juist is, maar er is iets in de volgende trant:

De werknemer moet op een manier die toegankelijk is voor hem/haar in staat gesteld worden om over belangrijke documenten te beschikken.

Dat kan, in het slechtste geval betekenen dat zij jou een fysiek exemplaar moeten overhandigen.

EDIT: Dit dus:

http://www.arbeidsovereen...oonstrook-te-verstrekken/

En onze welbekende Arnoud:

https://www.security.nl/p...loonstrookjes+weigeren%3F

KnoxNL wijzigde deze reactie 14-06-2019 10:29 (14%)


  • AntonyterHorst
  • Registratie: juli 2008
  • Laatst online: 17-06 22:22

AntonyterHorst

Niet alles wat je leest is...

Ik zie er geen problemen in, zie alleen maar voordelen en vooruitgang dat ze bezig zijn met 2FA. Dat ze voorheen per post / PDF gestuurd werden, ja dat was in het verleden eigenlijk altijd wel het geval, dus echt spannend is dat niet.

Automatisering en led NERD


  • Marzman
  • Registratie: december 2001
  • Niet online

Marzman

They'll never get caught.

Als je Google Authenticator kunt gebruiken kun je ook die van Microsoft gebruiken, of Amazon, of een ontwikkelaar die je meer vertrouwd. Dat is hetzelfde als die kastjes van banken, die kun je ook voor meer dan een bank gebruiken omdat ze dezelfde beveiliging gebruiken.

Ik krijg mijn salarisstroken ook in mijn privémail, dat lijkt me juist handiger. Volgens mij heb ik dat zelf ooit ingesteld in de portal die bij ons gebruikt wordt. Dan kan je werkgever ook niet de toegang afsluiten.

Marzman wijzigde deze reactie 14-06-2019 10:53 (29%)

☻/ Please consider the environment before printing this signature
/▌
/ \ <-- This is bob. copy and paste him and he will soon take over the world.


  • rookie no. 1
  • Registratie: juni 2004
  • Laatst online: 21:18
Jester-NL schreef op vrijdag 14 juni 2019 @ 09:06:
[...]
...Iets met klok en klepel
Nogal een statement met een vervelende bijsmaak 'iets met klok en klepel'.

Als je als werknemer als enig antwoord en documentatie krijgt dat je Google Authenticator op je Android/iPhone of (later bij navraag) via Google Chrome op je pc kunt krijgen.

Als eerste alleen al de verplichting tot 1 methodiek en dan ook nog verplichten dat je Google Chrome gaat/installeren of ook al was het wat anders (Firefox, IE, noem maar op). We hebben ook oudere werknemers zonder smartphone en met weinig kennis portals/tokens en dat soort dingen. Dan is het nogal wat om dat zo vast te stellen als accountant voor je klanten en diens medewerkers.

@KnoxNL Prima link om eens intern te delen. Dank.

rookie no. 1 wijzigde deze reactie 14-06-2019 11:21 (3%)


  • KnoxNL
  • Registratie: juli 2009
  • Laatst online: 20:37
@rookie no. 1 Graag gedaan.

Om redenen in jouw laatste post MAG dat dus ook niet.

Ik werk zelf bij 1 van de grotere bedrijven in NL, met een kwetsbare doelgroep als werknemers, vandaar dat ik enigzins bekend ben met deze materie.

Niet alleen ouderen, die techniek lastig vinden, maar wij hebben ook mensen in dienst die lager opgeleid zijn, de taal niet spreken (ook geen engels) die ondanks dat ze nog jong zijn nog nooit een smartphone of computer in bezit gehad hebben etc,.

Dan MOET je dus de loonstrook fysiek aanleveren.

  • EnigmaNL
  • Registratie: januari 2007
  • Laatst online: 16:05

EnigmaNL

Ik wil kaas.

rookie no. 1 schreef op vrijdag 14 juni 2019 @ 11:21:
[...]We hebben ook oudere werknemers zonder smartphone en met weinig kennis portals/tokens en dat soort dingen. Dan is het nogal wat om dat zo vast te stellen als accountant voor je klanten en diens medewerkers.
Die oudere werknemers kunnen vast wel met het bedrijf regelen dat ze papieren loonstroken krijgen.

  • KnoxNL
  • Registratie: juli 2009
  • Laatst online: 20:37
EnigmaNL schreef op vrijdag 14 juni 2019 @ 11:24:
[...]


Die oudere werknemers kunnen vast wel met het bedrijf regelen dat ze papieren loonstroken krijgen.
Het bedrijf zal daaraan moeten meewerken. Dat ze het proberen af te houden en niet actief communiceren is iets anders.

  • SimRam
  • Registratie: januari 2006
  • Laatst online: 17-06 16:46
Ik denk dat de werkgever enkel Google authenticator aangeeft omdat dat 'bekend' is. Menig persoon gaat niet zelf zoeken naar alternatieven en als het vertrouwt klinkt(wat velen hebben alsnog bij Google) dan is het OK.

Acties:
  • +1Henk 'm!

  • hackerhater
  • Registratie: april 2006
  • Laatst online: 14:32
@rookie no. 1
Die Google app maakt gebruikt van https://en.wikipedia.org/...e-time_Password_algorithm

Elke app die dit protocol implementeerd kan je gebruiken. Google Authenticator is alleen de meest bekende.

  • Zebby
  • Registratie: maart 2009
  • Laatst online: 17:12

Zebby

Gamed

rookie no. 1 schreef op donderdag 13 juni 2019 @ 23:07:
Goed om te horen dat andere authenticators te gebruiken zijn die kennelijk dezelfde open standaard volgen.

Op zich goed om te melden aan je klanten/gebruikers als leverancier, dit weten niet veel mensen als ze alleen maar naar 1 product gestuurd worden op de site en documentatie.

Binnenkort even testen en dan weer een 'share the knowlegde' momentje op kantoor :)

Dank allen!
Nog een beetje additionele context - de Google Authenticator heeft verder meestal geen koppeling met Google. Dit is iets wat je zelf op je server hebt draaien, en verder niet meer met Google praat. Zoals eerder gezegd kun je ook andere apps gebruiken voor de code, ik raad ook Authy aan (mogelijkheid backups is fijn).

Dit t.o.v. bijvoorbeeld Google ReCAPTCHA, wat wel altijd contact heeft met Google.


Wat de oudere generatie betreft, op een gegeven moment bereik je zo'n groot publiek dat de uitzonderingssituatie <1% van de bevolking raakt. Om dan de veiligheid van 99% in gevaar te brengen is geen logische of financieel solide beslissing. Dan bied je inderdaad een alternatief aan als per post of telefonisch afhankelijk van de dienst. Dat soort uitzonderingen anders oplossen kost over het algemeen een veelvoud meer geld.

Zebby wijzigde deze reactie 14-06-2019 12:29 (19%)


  • Sissors
  • Registratie: mei 2005
  • Laatst online: 21:22
Evanescent schreef op vrijdag 14 juni 2019 @ 09:58:
[...]

Het grootste probleem zijn alle privégegevens die bij elkaar staan in zo'n strookje, zoals je BSN, werkgever, volledige naam, etc. Daarmee wordt identiteitsfraude wel erg makkelijk. Dat zou ik niet over plain text mail willen hebben.
Ik begrijp de theorie, maar persoonlijk zou ik het nog steeds liever via de e-mail hebben zodat ik ze altijd nog heb zonder dat ik alles handmatig moet gaan opslaan ergens weer.

Werkgever en volledige naam zijn nou niet bepaald een geheim. BSN is enige wat nog iets 'geheim' is, maar ook dat is nou niet een echt goed bewaard geheim.

  • Evanescent
  • Registratie: september 2001
  • Niet online

Evanescent

Helemaal klaar voor de zomer!

Sissors schreef op vrijdag 14 juni 2019 @ 15:06:
[...] Werkgever en volledige naam zijn nou niet bepaald een geheim. BSN is enige wat nog iets 'geheim' is, maar ook dat is nou niet een echt goed bewaard geheim.
Het gaat om de combinatie die het gevaarlijk maakt.

Ruimteverspilling


  • Ryur
  • Registratie: december 2007
  • Laatst online: 18:29
Evanescent schreef op vrijdag 14 juni 2019 @ 15:42:
[...]

Het gaat om de combinatie die het gevaarlijk maakt.
Blijf ik zo leuk vinden voor ZZP'ers. Daar is gewoon de combinatie zo beschikbaar!

  • Paul
  • Registratie: september 2000
  • Laatst online: 20:42

"Your life is yours alone. Rise up and live it." - Richard Rahl
Rhàshan - Aditu Sunlock


Acties:
  • +1Henk 'm!

  • Ryur
  • Registratie: december 2007
  • Laatst online: 18:29
Klopt, maar dat betekent helaas niet dat hij dus niet meer rondzwerft ;)

Leuk dat je in 2020 een nieuw BTW nummer (kan) krijgen. Maar ze zouden juist, om identiteitsfraude tegen te gaan, diegene juist een nieuwe BSN nummer moeten geven (hoeveel rompslomp dat ook is).

Ryur wijzigde deze reactie 14-06-2019 18:13 (23%)


  • Sissors
  • Registratie: mei 2005
  • Laatst online: 21:22
Evanescent schreef op vrijdag 14 juni 2019 @ 15:42:
[...]

Het gaat om de combinatie die het gevaarlijk maakt.
BSN wordt volgens mij echt letterlijk nergens bewaard of ingezien waar niet de volledige naam ook erbij staat, dus de koppeling BSN <> naam is er al regelmatig. Naam <> werkgever staat overal en is echt totaal geen geheim. Oftewel overal waar mijn BSN is, is mijn naam ook. En iedereen die mijn naam kent kan zo mijn werkgever uitvogelen. Een geboortedatum is dan nog een stuk belangrijker, die wordt vaak gebruikt bij helpdesken enzo om te verifiëren dat jij het bent.

  • falconhunter
  • Registratie: juli 2009
  • Laatst online: 16:58
Zarathustra schreef op donderdag 13 juni 2019 @ 23:31:
Het enige punt dat ik zie is dat op ‘grote’ schaal loongegevens buit zouden kunnen worden gemaakt als de beveiliging niet op orde is.
15 jaar geleden is een een auto van ons gestolen waar alle enveloppen voor de loonstrookjes in zaten (op weg naar het postkantoor). Niets nieuws in de wereld.

  • Jazzy
  • Registratie: juni 2000
  • Laatst online: 16:52

Jazzy

Moderator SWS/PB

Moooooh!

Even een zijsprongetje, nav. de opmerking over sms. In principe is sms als tweede factor een verbetering tov. alleen gebruikersnaam en wachtwoord. Alleen is sms vrij eenvoudig te onderscheppen en biedt daardoor geen beveiliging als iemand echt een gerichte aanval wil doen. Prima misschien voor je loonstrookje, maar wees je er van bewust dat sms geen goede optie is om bijvoorbeeld je Bitcoin wallet mee te beveiligen.

Bedrijven die MFA aanbieden aan hun werknemers schakelen de sms-optie doorgaans dan ook uit, of zouden dat moeten doen.

Exchange en Office 365 specialist. Mijn blog.

Pagina: 1


OnePlus 7 Pro (8GB intern) Microsoft Xbox One S All-Digital Edition LG OLED C9 Google Pixel 3a XL FIFA 19 Samsung Galaxy S10 Sony PlayStation 5 Games

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank, Intermediair en Independer de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True